Configurar una Relacion de Confianza entre dos Bosques
Las relaciones de confianza, dicho de un modo simple, permiten que usuarios de un dominio puedan acceder a recursos de otro dominio.
En un bosque se crean relaciones de confianza bidireccionales y transitivas entre todos los dominios.
Pero ¿y si queremos compartir recursos entre diferentes bosques?
Tendremos que crear relaciones de confianza de modo explícito.Las relaciones de confianza se establecen entre 2 dominios.
Dependiendo de la función que cumplen en la relación tendremos:
- “dominio trusting” (dominio que confía y a cuyos recursos van a acceder los usuarios del otro dominio)
- “dominio trusted” (en el que confiamos y cuyos usuariospueden acceder al otro dominio de la relación).
Un dominio podrá ser trusting y trusted a la vez.
Existen varios tipos de Relación de Confianza y de Autenticación que podemos establecer entre distintos bosques.Según el escenario optaremos por una combinación de ambos u otra.
Tipos de relaciones de confianza:
Forest Trust Relationship: se establecen entre los dominios raíz de cada bosque, pueden ser unidireccionales o bidireccionales y son transitivas.
Que sea transitiva quiere decir que los dominios hijos u otros arboles del dominio raíz trusting, a su vez se fían de los subdominios del dominio raíz trusted.
Podría suceder que se produjeran retrasos o latencias en los procesos de autenticación. En estos casos puede ser necesario crear una relación de tipo Shortcut entre los dos extremos para evitar los múltiples saltos en el proceso de autenticación.
Se puede establecer solo entre Directorios Activos de Windows 2000 en adelante.
External Trust Relationship: se establecen entre cualquier par de dominios (no tienen por que ser los dominios raíz)., no son transitivas y de igual modo pueden ser unidireccionales o bidireccionales.
Al igual que en la anterior, solo se puede establecer entre Directorios Activos de Windows 2000 en adelante.
Realm Trust Relationship: se establecen entre dominios de Directorio Activo y otros sistemas de autenticación que no sean Directorio Activo (Oracle Identity, NIS, Windows NT 4.0, …).
Se pueden configurar comotransitivas o no, y unidireccionales o bidireccionales.
Autenticación en Relaciones de Confianza
Como dijimos al principio, cuando establecemos una relación de confianza, estamos dando acceso a usuarios de otro bosque o dominio a los recursos del nuestro (bosque o dominio).
La mejor parte es que podemos elegir cuáles serán los recursos sobre los que vamos a dar acceso. Existen 2 tipos de autenticación:
Forest/Domain-Wide Authentication: tanto si elegimos una relación de tipo bosque y seleccionamos la autenticación de tipo Forest-Wide, como si escogemos en una relación de tipo external y seleccionamos la autenticación de tipo Domain-Wide, vamos a permitir la autenticación (el acceso) en todos los servidores del bosque o el dominio en cuestion.
Selective Authentication: este modo de autenticación (Firewall de Autenticación) nos permite escoger los servidores del bosque o del dominio (si es de tipo external) sobre las que vamos a permitir la autenticación.
En este modo de autenticación, por defecto no habrá ningún servidor habilitado para autenticar a usuarios / grupos del otro bosque.
Tendremos que ir a Directorio Activo y en cada servidor que vaya a dar acceso a los usuarios de otro bosque, en la pestaña de Security le tendremos que añadir esos usuarios o grupos y darle el permiso de “Allow to Authenticate”.
¿Y después?
Por ejemplo, siguiendo los consejos de Microsoft de anidación, podríamos crear, por ejemplo, una carpeta y compartirla.
La compartiríamos con un grupo de seguridad de tipo Local Domain y a este le añadiríamos como miembro a un grupo de seguridad de tipo Global del otro bosque. En este añadiríamos a los usuarios a los que querríamos darles acceso.
Y asi esos usuarios (y solo esos usuarios) podrían entrar desde sus equipos a esa capeta compartida desde el otro bosque.
Propuesta
Si nunca habéis realizado una relación de confianza, os propongo que hagáis la siguiente:
Podéis ver en el video como se realiza esta misma propuesta.
Muchas gracias por acudir a este post y nos vemos en el siguiente!
Autor: Jorge Agudo Martín
Curso: Microsoft MCSA Windows Server + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2018-2019